| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: isearch, bearshare und cws.therealsearch gefundenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
| |
27.08.2005, 16:31
| #1 |
| |  isearch, bearshare und cws.therealsearch gefunden, was tun? Hallo alle zusammen, ich habe seit langem mal wieder escan über mein System laufen lassen. dabei kamen 3 "infected" Meldungen (Auszug aus dem log s. u.). Zu isearch habe ich irgendwie gar nichts Vernünftiges gefunden. Zu bearschare habe ich zwar gefunden, dass es ein gleichnamiges Program gibt. Das hatte ich aber nie installiert (könnte allerdings sein, dass meine Frau das mal installiert hatte und ich nichts davon weiß). jetzt ist es auf jeden Fall nicht mehr installiert (ist in der Systemsteuerung/Software nicht da, auch existiert kein entsprechender Ordner mehr unter c:\Programme). Zu cws.therealsearch habe ich auch was gefunden: den cwshredder. Den habe ich auch schon mehrfach über das System laufen lassen, der findet aber nie etwas(dabei soll er doch angeblich 100% sicher sein). Spybot und Adaware finden auch nichts (in keinem der drei Fälle). Irgendwie weiß ich jetzt nicht weiter. Muß ich mir Sorgen machen oder soll ich die Meldungen ignorieren? Oder kann ich doch das Problem beheben? Wenn ja wie? Dann sind da noch die vielen Meldungen, die alle mit "Entry..." anfangen. Was hat das denn zu bedeuten. Kann ich diese Einträge einfach alle aus der registry löschen ohne dass was passiert (sprich: läuft mein System denn dann noch?)? Anbei mal der Auszug aus dem escan log und das HijackThis log: Hier der Auszug aus dem escan log: ***** Scanning Registry and File system for Adware/Spyware ***** Loading Spyware Signatures from new External Database (Size: 134804). System found infected with isearch Spyware/Adware ({1c78ab3f-a857-482e-80c0-3a1e5238a565})! Action taken: Keine Aktion vorgenommen. Offending value found in HKCU\Software\gnu !!! Object "bearshare Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen. System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: Keine Aktion vorgenommen. ***** Scanning Registry for errors created because of Adware/Spyware ***** Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\System32\qtplugin.ocx". Action Taken: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\AOL 7.0\Aol.hlp". Action Taken: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\AOL 7.0\Aol.cnt". Action Taken: Keine Aktion vorgenommen. ..... hier nur die ersten 3 Einträge, die Liste ist ziemlich lange (>200 Einträge), die alle so ähnlich aussehen, wie die oben. Bei Bedarf kann ich auch die vollständige Liste posten. Hier das HjackThis Log: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\PROGRA~1\0190WA~3\WARN0190.EXE C:\Programme\FRITZ!DSL\Awatch.exe C:\PROGRA~1\GENIUS~1\mouseElf.exe C:\Programme\Trojancheck 6\tcguard.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\QuickTime\qttask.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AOL 9.0a\aoltray.exe C:\PROGRA~1\0190WA~3\w0svc.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\notepad.exe C:\Dokumente und Einstellungen\All Users\Dokumente\Downloads\Heiko\Programme\Sicherheit\Virenscanner\HijackThis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~3\whelper1.dll O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~3\WARN0190.EXE O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\mouseElf.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094559497921 O16 - DPF: {A7E092C3-692A-11D0-A7E5-08002B322F3B} - https://webresponse.one.microsoft.com/oas/ActiveX/FileXfer.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{54FFF8F6-5C4E-4D39-A5C5-FC16797A908D}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{7B1F23DB-9E77-48EB-B190-480A0BA82439}: NameServer = 192.168.120.252,192.168.120.253 _____________ Anm. Aktive Links editiert! Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis. LG Cidre S-Mod TB Geändert von Cidre (27.08.2005 um 19:44 Uhr) |
| Themen zu isearch, bearshare und cws.therealsearch gefunden |
| 100%, adobe, adobe reader, avg, bho, browser, dateien, dsl, einstellungen, escan, file, hijack, hijackthis, hijackthis log, ignorieren, infected, log, löschen, microsoft, object, ordner, problem, programme, registry, rundll, sicherheit, system, träge, was tun, windows |
Baum-Darstellung